1.6
Die betrieblichen und behördlichen Datenschutzbeauftragten
Die Datenschutzbeauftragten in Behörden und Unternehmen spielen eine außerordentlich wichtige Rolle bei der
Anwendung und Umsetzung des Datenschutzrechts. Das seit Jahrzehnten etablierte Zwei-Säulen-Modell aus
innerbetrieblicher bzw. innerbehördlicher Kontrolle und der staatlichen Aufsicht durch die unabhängigen Datenschutzbehörden ist ein entscheidender Faktor für die vergleichsweise hohe Akzeptanz und das hohe Datenschutzniveau in Deutschland. Die Datenschutzbeauftragten stehen in ihren Behörden und Betrieben allen Mitarbeitern mit Rat und Hilfe zur Verfügung, beraten die Verantwortungsträger und kontrollieren die Einhaltung der
datenschutzrechtlichen Bestimmungen.
Die zugrundeliegenden gesetzlichen Bestimmungen in Europa und in der Folge auch in Deutschland haben sich
im Berichtszeitraum in eine erfreuliche Richtung weiterentwickelt.
Zudem habe ich im Berichtszeitraum einen Schwerpunkt meiner Arbeit auf die Beratung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung und die Kontrolle der öffentlichen Stellen des Bundes im Hinblick auf die Rechtsstellung der Datenschutzbeauftragten und den Umgang mit ihnen gelegt.
Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung
Mit der Datenschutz-Grundverordnung (DSGVO) ist es erstmals gelungen, das Zwei-Säulen-Modell europaweit
zu verankern. Erfreulicherweise besteht in Deutschland weitgehend Konsens, die Regelungsspielräume der
DSGVO mit dem Ziel einer weiteren Beibehaltung der nahezu flächendeckenden Ausstattung mit betrieblichen
Datenschutzbeauftragten zu nutzen.
Nach langen Diskussionen hat sich der Europäische Gesetzgeber darauf verständigt, zumindest in bestimmten
Fällen die Bestellung eines internen Datenschutzbeauftragten europaweit verbindlich vorzuschreiben (vgl. o.
Nr. 1). Danach müssen Behörden immer einen Datenschutzbeauftragten bestellen; Ausnahmen gelten hier nur
für die Gerichte im Rahmen ihrer rechtsprechenden Tätigkeit.
Darüber hinaus müssen Unternehmen immer dann einen Datenschutzbeauftragten bestellen, wenn
-
die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche
aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit in der umfangreichen Verarbeitung besonderer sensibler Daten im Sinne der Artikel 9
und 10 DSGVO besteht.
Die Rechtsstellung und die Aufgaben des Datenschutzbeauftragten sind in den Artikel 37 bis 39 DSGVO ähnlich denen nach dem geltenden BDSG ausgestaltet.
Die Artikel-29-Gruppe hat hierzu inzwischen Leitlinien beschlossen, in denen wertvolle Hinweise zur Bestellung, Rechtsstellung und den Aufgaben der Datenschutzbeauftragten gegeben werden (Leitlinien in Bezug auf
Datenschutzbeauftragte vom 13. Dezember 2016, WP 243 – abrufbar über meine Internetseite unter
www.datenschutz.bund.de). An der Ausarbeitung dieses Papiers habe ich mich intensiv beteiligt und auf diese
Weise meine Erfahrungen aus dem seit langem bestehenden deutschen System einbringen können. In den Leitlinien wird konkretisiert, in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss, wie dieser in die
Organisation von Unternehmen und Betrieben eingebunden und welche Stellung er dort haben sollte, wann
Interessenkonflikte mit anderen Aufgaben entstehen können und welche konkreten Aufgaben der Datenschutzbeauftragte hat.
– 48 –
BfDI 26. Tätigkeitsbericht 2015-2016